"정보보호 `사람 관리`가 먼저다"

정보유출 카드3사 ·금융사 등 인적보안 강조
보메트릭 등 업계, 관련 솔루션 출시 잇따라

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


올 들어 대형 정보유출 사고가 급증하면서 기업의 정보보호 담당자들이 어느 때보다 '사람에 대한 보안(인적 보안)'의 중요성을 강조하고 있다.

21일 업계에 따르면 올 초 1억400만건의 정보유출 사태를 일으켰던 카드3사는 최근 인적 보안에 대한 부분을 크게 강화하고 있는 것으로 나타났다. 인적 보안은 내부 정보에 접근 권한을 갖고 있는 내부 직원(인가자) 관리, 직원 및 외부인의 출입 관리, 퇴직자 및 외주인력 관리 등이 주를 이룬다.

정보유출 카드사 중 하나인 롯데카드의 최동근 최고정보보호책임자(CISO)는 "올해 일어난 불미스러운 정보유출 사고는 외주 용역 직원이라는 인가자, 내부자에 의한 사고였다"면서 "이같은 내부자 위협은 국내 뿐만 아니라 전 세계적으로 광범위하게 일어나고 있는 현상"이라고 설명했다. 여기서 내부자란 현 직원이나 외주 인력 외에도 퇴사자, 협력사 등 내부 접근 권한이 있고 회사 사정을 잘 아는 사람을 뜻한다. 최 CISO는 "기술적 공격이 전체 사고에서 차지하는 비중은 크지 않다. 결국 내부 위협에 대한 부분을 막으면 90%는 막을 수 있다는 얘기"라고 강조한다. 카드3사를 비롯해 금융권과 대기업 역시 인적 보안에 대한 중요성을 인지하고 이 부분을 크게 강화하고 있다.

하지만 인적보안은 기술적 요소보다 관리적 요소가 강한 부분이다. 사람에 대한 통제이기 때문에 지나친 감시나 제약은 업무 효율성 저하를 초래할 수도 있고 프라이버시 침해 논란 등으로 번질 가능성도 있다.

이에 따라 보안업계는 관리적 보안이 중심이 되는 인적 보안을 기술적으로 해결할 수 있는 솔루션을 선보이며 인적보안을 강화할 수 있는 방안을 제시하고 있다. 이문형 보메트릭코리아 지사장은 "내부직원은 이미 데이터에 대한 접근 권한을 가지고 있으며 정상적인 접근 경로로 데이터에 접근하기 때문에 기술적으로 방어하기가 상당히 어렵다"면서 "따라서 기존 전통적인 외부위협 방지 툴로는 내부자 보안을 수행하기가 쉽지 않다"고 지적했다.

보메트릭은 데이터시큐리티 솔루션(Vormetric Data Security Solution) 제품군을 통해 '내부자 위협' 대응 전략을 제시하고 있다. 이 솔루션은 정밀한 접근 정책과 권한을 가진 사용자 제어 및 포괄적인 보안 인텔리전스를 제공한다. 암호화된 데이터 자체에 대한 접근을 제어함으로써, 오직 검증된 사용자 및 프로세스만이 데이터를 조회하고, 시스템 관리자 계정 등 권한을 부여 받은 사용자는 보호된 데이터에 접근하지 않고도 업무를 원활히 수행할 수 있도록 한 것이다.

지란지교에스앤씨는 외주인력작업단말관리 솔루션 J-TOPS으로 내부자 정보 유출 방지에 적극 대응하고 있으며, 컴트루테크놀로지 역시 데이터유출방지(DLP) 솔루션 셜록홈즈 엔드포인트보안 제품으로 내부자 위협을 막을 수 있다고 강조한다.

컴트루테크놀로지 관계자는 "기존의 개인정보유출사례에서도 CD, DVD, USB와 같은 매체들이 개인정보유출의 도구로 악용됐다. 작은 크기지만 상당량의 개인정보를 유출할 수 있기 때문"이라며 "인적 보안에서는 정보 저장 및 유통을 하는 매체 보안도 필수이며 이를 막기 위한 비인가 매체에 대한 이동 차단 및 암호화 이동을 한다면 어이없는 대형 정보유출은 상당부분 막을 수 있다"고 강조했다.

강은성기자 esther@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사